"DEAL! DEAL! DEAL!" Así, con mayúsculas, exclamaciones y repetición incluida, celebraba anoche la Presidencia española del Consejo de la UE el último acuerdo alcanzado entre los 27 Estados del club europeo y el Parlamento comunitario. Y aunque en el anuncio hay mucho de retórica, en este caso parece razonablemente justificada: lo que ambos organismos acaban de consensuar es la primera norma de inteligencia artificial del mundo, un reglamento al que aún le queda recorrido administrativo por delante y no se prevé que entre plenamente en vigor hasta dentro de varios años, pero que supone en cualquier caso un hito.
El pacto llega además justo antes de las elecciones europeas de junio de 2024, una cita con las urnas que podrían haber complicado aún más sus negociaciones.
Grandes pactos, largas negociaciones. Nadie dijo que abrir caminos fuese sencillo. La UE presume del carácter pionero de su norma y recalca que ofrecerá "el primer marco jurídico integral sobre IA en todo el mundo", pero le ha costado sacarlo adelante. La fumata blanca requirió una negociación maratoniana, con un intenso tira y afloja y dos interminables sesiones, de 22 y 14 horas, que acabaron de la mejor de las formas: con pulgares hacia arriba, una foto de grupo con caras sonrientes, la celebración pública de los dirigentes europeos, con Ursula von der Leyen a la cabeza, y sendos comunicados de la Comisión y el Parlamento.
Un paso clave, pero no el último. El pacto entre el Parlamento Europeo y el órgano que representa a los 27 Estados comunitarios, supone un paso crucial, pero no definitivo. La Presidencia española del Consejo de la UE recalca que el acuerdo es "provisional" y al texto todavía le queda un camino administrativo por delante: ambas partes deberán ratificarlo y, si bien hay medidas que se activarán antes, no se espera que entre plenamente en vigor hasta dentro de varios años, hacia finales de 2026. Eso no significa que el paso dado ayer no sea relevante, como lo prueban las felicitaciones públicas lanzadas por los máximos dirigentes europeos.
El acuerdo no ha sido sencillo. La búsqueda de un complicado equilibrio entre la seguridad, el respeto a los valores europeos, el impulso de la innovación e incluso los "riesgos identificables" ha exigido largos debates, con sesiones maratonianas y técnicas. Que se haya logrado un consenso es importante además por una cuestión estrictamente estratégica... y de tempo. El pacto se anuncia con una convocatoria de elecciones europeas a seis meses vista, una cita con las urnas que podría haber complicado aún más una ley delicada y que lleva tiempo discutiéndose.
Un camino de más de dos años. La Ley de IA, más conocida como IA Act, se presentó por primera vez hace casi tres años, en abril de 2021, como se encargaba de recordar anoche von der Leyen. La presidenta de la Comisión ha insistido en el valor y las posibilidades que abre la nueva ley. "El acuerdo centra la norma en los riesgos identificables, aporta seguridad jurídica y abre el camino a la innovación en una IA fiable —señala la dirigente— Al garantizar la seguridad y los derechos de las personas y empresas, la ley apoyará el desarrollo, despliegue y asimilación de la IA en la UE centrados en las personas, transparentes y responsables".
Separando por "riesgos". Una de las claves de la nueva legislación es que clasifica la IA en función del riesgo que representan. En el comunicado en el que detalla la norma, la Comisión habla de cuatro niveles, que van desde el más bajo hasta el inasumible. La mayoría de IA se enmarcarán en el primero, el de "riesgo mínimo", paquete en el que entran por ejemplo los sistemas de recomendación. En esos casos, se "beneficiarán de un pase libre y la ausencia de obligaciones".
Cuando se considere sin embargo que la inteligencia artificial es de "alto riesgo", como pueden ser las relacionadas con infraestructuras críticas, como instalaciones de agua, gas y electricidad o dispositivos médicos, la tecnología deberá atenerse a "requisitos estrictos", lo que incluye sistemas de mitigación de riesgos, un registro de actividad, supervisión y aportar información clara, entre otras medidas.
Habría dos niveles más: el de "transparencia específico", que establece que en el caso de los chatbots los usuarios deben ser conscientes de que están interactuando con una máquina; y el "riesgo inaceptable", categoría en la que se incluirían las IA que "manipulan el comportamiento humano para eludir el libre albedrío de los usuarios". En esos casos la Comisión Europea habla de prohibición.
Aplicaciones prohibidas. El Parlamento Europeo va un poco más allá y detalla algunas aplicaciones prohibidas por "la amenaza potencial" que representan tanto para los derechos de los ciudadanos como, insiste, para la democracia. En concreto y entre otros usos, cita los sistemas de categorización biométrica que se apoyan en "características sensibles", como la raza, orientación sexual o credo; "la extracción no dirigida" de imágenes de rostros de Internet o de cámaras de vigilancia (CCTV) para elaborar bases de datos de reconocimiento; o sistemas de puntuación social basados en el comportamiento social o las características personales.
La norma contempla además medidas de apoyo a la innovación, ciertas obligaciones para los sistemas de IA de "alto riesgo" y, aún más importante, para garantizar que la ley no se queda en papel mojado: sanciones. La Cámara precisa que saltarse las pautas establecidas en la norma puede salir caro a las compañías, con multas que van desde 7,5 millones de euros o el 1,5% del volumen de negocio a otras que elevan la penalización a los 35 millones o el 7% del volumen de negocio. El importe dependerá del tipo de infracción o el tamaño de la empresa.
IA y vigilancia. Que las negociaciones se hayan prolongado tanto tiempo, con sesiones tan maratonianas, muestra que no todos los puntos generaban el mismo consenso. Uno de los más conflictivos ha sido el de los sistemas de identificación biométrica (RBI), como el reconocimiento facial. El motivo: las diferencias sobre una tecnología que despierta fuertes recelos por las posibilidades de control que ofrece a los gobiernos y cómo estas colisionan con los derechos ciudadanos. Tras las negociaciones, los europarlamentarios y el Consejo han logrado llegar a un punto de entendimiento: una "limitación" en el uso de la herramienta.
"Los negociadores han acordado una serie de salvaguardias y excepciones restringidas para el uso de sistemas de identificación biométrica en espacios de acceso público con fines policiales, previa autorización judicial y listas de delitos estrictamente definidas", señala el Parlamento Europeo en su balance de la norma: "El RBI 'post-remoto' se utilizará de forma estricta en la búsqueda selectiva de una persona condenada o sospechosa de haber cometido un delito grave".
Su aplicación "en tiempo real" estará supeditado igualmente a "condiciones estrictas", con un uso "limitado en el tiempo y espacio" y siempre con un objetivo bien definido: "Las búsquedas específicas de víctimas, prevención de una amenaza terrorista específica y actual o la localización o identificación de un sospechoso de haber cometido uno de los delitos específicos mencionados en el Reglamento". En esa lista entrarían por ejemplo el terrorismo, la trata, el asesinato o violación.
La IA de propósito general. Otra de las claves de la negociación fue cómo regular los modelos de IA generativa, como ChatGPT. La ley introduce "reglas específicas" para esta tecnología que buscan "garantizar la transparencia". "Para modelos muy potentes que podrían plantear riesgos sistémicos, habrá obligaciones vinculantes adicionales relativas a la gestión de riesgos y seguimiento de incidentes graves, la realización de evaluaciones de modelos y pruebas adversas", detalla.
El Parlamento saca pecho además por haber conseguido "obligaciones más estrictas" para los modelos GPAI "de alto impacto". "Si estos modelos cumplen ciertos criterios, tendrán que llevar a cabo evaluaciones, evaluar y mitigar riesgos sistémicos, realizar pruebas contradictorias, informar sobre incidentes graves, garantizar la ciberseguridad e informar sobre su eficiencia energética".
Sobre los derechos de autor. La legislación aborda también una de las cuestiones más delicadas: la compleja conjugación de la IA y los derechos de autor de las obras en las que se basa. La ley establece que "los sistemas GPAI y modelos en los que se basan tendrán que cumplir los requisitos de transparencia propuestos inicialmente por el Parlamento", lo que pasa por "la elaboración de documentación técnica, el cumplimiento de la normativa de la UE sobre derechos de autor y la difusión de resúmenes detallados sobre el contenido usado en la formación".
Imagen de portada: Wikipedia (Diliff)
Ver 27 comentarios